Begrepet trusselaktør refererer til noen som har til hensikt å utføre skadelige handlinger mot et bestemt mål. Målet kan for eksempel være en bestemt prosess eller funksjon i en virksomhet.
Det er avgjørende at alle virksomheter innenfor kritisk infrastruktur opparbeider seg kunnskap og evne til å oppdage cybersikkerhetsrelaterte trusler og risikoer i et stadig skiftende trusselbilde. Det er avgjørende for å redusere risikoen for å bli offer for et cyberangrep. MITRE ATT&CK® er et kunnskapsdatabase som kan brukes til utvikling av trusselmodeller og metoder for å oppdage uønsket aktivitet i IT- og OT-systemer. Hva er MITRE ATT&CK® og hvordan kan metoden bidra til balansert sikkerhet over tid i en virksomhet?
Hva er MITRE ATT&CK®?
MITRE er en veletablert kunnskapsdatabase med strukturert informasjon basert på virkelige observasjoner av cyberangrep som har skjedd flere steder i verden. Den største fordelen med MITRE ATT&CK® er at den ikke er begrenset til noen spesifikke organisasjoner, men databasen er åpen for alle å rapportere observasjoner. Ved å kontinuerlig analysere teknikkene og metodene som brukes i observerte angrep, er det mulig å holde strukturen og kunnskapsbasen godt oppdatert.
Etter at de kontinuerlig rapporterte observasjonene er analysert, kartlegges de forskjellige metodene som en trusselaktør brukt til å komme inn i et nettverk. Metoder refererer til forskjellige måter å plante, for eksempel skadelig programvare i et nettverk. I kartleggingen analyseres aktørens formål og evne til å agere innen et nettverk, for eksempel kan formålet være og overta rettigheter, eiendeler eller eksfiltrere informasjon. Ved å ha kunnskap om metodene og teknikkene som brukes i cyberangrep, kan en fullverdig deteksjonsevne skapes.
Hvordan kan MITRE ATT&CK® være gunstig i en monitoreringsløsning?
En monitoreringstjeneste som bruker metoden, kan fungere proaktivt og ikke minst identifisere allerede kjente trusler og risikoer. Dette betyr at sjansene for å oppdage et mulig angrep på virksomheten i tid øker. I tillegg, ved å bruke MITRE som en integrert del av monitoreringsløsningen for både IT og OT, vil det gi økt sikkerhet i hele virksomheten.
En annen fordel ved å benytte MITRE, er at tjenesten vil gi god sikkerhet over tid. For å opprettholde ønsket sikkerhetsnivå over tid, må deteksjonsevnen oppdateres kontinuerlig.
Hvordan kan MITRE ATT&CK® implementeres i en monitoreringsløsning?
Ved å integrere MITRE’s funksjoner i den tekniske løsningen, så sikres det at en MDR-tjeneste (Managed detection and response) alltid har synligheten og deteksjonsevnen som kreves for å håndtere alle typer angrep. MITRE er med hele veien og gjør arbeidet strukturert og informativt.
Et eksempel på hvordan Sectra implementerer metoden på informasjonsinnsamlingsnivå med MITRE, er at deteksjonsingeniøren bruker metoden til å kartlegge informasjon som beveger seg i virksomhetens kritiske systemer for å oppdage en eventuell inntrenging.
Et annet eksempel er reell deteksjonsevne, som også er noe Sectra bruker i løsningen. Betydningen av konseptet er som navnet antyder: vår oppreiste deteksjonsevne er det som faktisk kan oppdages, måles og visualiseres i et nettverk, slik at det blir tydligere å se hva vi faktisk kan oppdage og ikke minst beskyttes mot. Den virkelige deteksjonsevnen er basert på hva som blir synlig gjennom loggene som sendes til overvåkingssystemet kombinert med deteksjonsreglene utviklet av Sectras deteksjonsingeniører. Til å kommunisere den nåværende dekningen med en kunde, brukes et oversiktsbilde der du kan se hva som kan oppdages fra MITRE-perspektivet. Dette brukes som et verktøy for å diskutere behovet for endringer eller utvidelser.
Sammendrag
Med et stadig skiftende trusselbilde er det viktig å kunne oppdage og tilpasse seg de nåværende cybertruslene som finnes for virksomheter innen kritiskinfrastruktur. Å bruke et verktøy som MITRE ATT&CK® er ofte nødvendig for å være konstant oppdatert på hvilke cyberangrep som har skjedd og hvilke metoder trusselaktører har brukt for å trenge inn i et nettverk. Hvis du bruker denne tilnærmingen, vil muligheten til å oppdage avvik og mistenkelig aktivitet i nettverkene øke over tid. Som et resultat vil risikoen for produksjonsstopp reduseres betraktelig.